GBT22080信息安全管理手册

1、信息安全管理手册GB/T 22080-2016/IS0/IEC 27001:2013编写委员会信息安全管理手册GLSC2020第A/0版编 写:审 核:批 准:受控状态:XXX网络科技有限公司发布时间：2020年9月1日实施时间：2020年9月1日第 页01目录序号名称页码01目录102修订页303颁布令404任命书505方针、目标606企业简介807管理手册9第一章范围11第二章规范性引用文件12第三章术语和定义13第四章组织环境164. 1理解组织及其环境164.2理解相关方的需求和期望164.3确定信息安全管理体系范围174.4信息安全管理体系17第五章领导185. 1领导和承诺185.

2、2方针185.3组织的角色、职责和权限19第六章规划226. 1应对风险和机会的措施226. 1. 1总则226. 1.2信息安全风险评估226. 1. 3信息安全风险处置226.2信息安全目的及其实现规划23第七章支持257. 1资源257.2能力277.3意识277.4沟通277.5文件化信息287.5. 1总则287.5.2创建和更新287.5.3文件化信息的控制28第八章运行30& 1运行规划和控制30& 2信息安全风险评估30& 3信息安全风险处置30第九章绩效评价319. 1监视、测量、分析和评价31序号名称页码9.2内部审核329.3管理评审32第十章改进3510. 1不符合及纠

3、正措施3510.2持续改进35F附录36附录一证照36附录二组织机构图37附录三职能分配要素表38附录四程序文件目录3902修订页序号对应章、节、 条号修订内容修改人及 时间批准人及 批准时间03颁布令为提高我公司的信息安全管理水平，保障公司和客户信息安全，依据GB/T 2 2080-2016/IS0/IEC 27001：2013信息技术安全技术信息安全管理体系要求 结合本公司实际，特制定信息安全管理手册（以下简称“管理手册”）A/0版。管理手册阐述了公司信息安全管理，并对公司管理体系提出了具体要求, 引用了文件化程序，是公司管理体系的法规性文件，它是指导公司建立并实施管 理体系的纲领和行动准

4、则，也是公司对所有社会、客户的承诺。管理手册是由公司管理者代表负责组织编写，经公司总经理审核批准实 施。管理手册A/0版于2020年9月1日发布，并自颁布日起实施。本公司全体员工务必认真学习，并严格贯彻执行，确保公司信息安全管理体 系运行有效，实现信息安全管理目标，促使公司信息安全管理工作得到持续改进 和不断发展。在贯彻管理手册中，如发现问题，请及时庾馈，以利于进一步 修改完善。授权综合部为本管理手册A/0版的管理部门。XXX网络科技有限公司 总经理：2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/IS0/IEC 27001:2013信息技术 安全技术 信息安全管理体系

5、要求，加强对管理体系运作的领导，特任命曲巧为本公司 的信息安全管理者代表。除履行原有职责外，还具有以下的职责和权限如下：（1）确保信息安全管理体系的建立、实施、保持和更新；进行资产识别和 风险评估。（2）向最高管理者报告管理体系的有效性和适宜性，并作为评审依据用于 体系的改进；（3）负责与信息安全管理体系有关的协调和联络工作；（4）负责确保管理手册的宣传贯彻工作；（5）负责管理体系运行及持续改进活动的日常督导；（6）负责加强对员工的思想教育和业务、技术培训，提高员工信息安全风 险意识；（7）主持公司内部审核活动，任命内部审核人员；（8）代表公司就公司管理体系有关事宜与外部进行联络。本授权书自任

6、命日起生效执行。总经理：2020年9月1日05方针.目标为提高本公司的信息安全管理水平，保障公司和客户信息安全，本公司建立 了信息安全管理制度，制定了信息安全方针和信息安全目标。1公司信息安全方针满足客户需求、强化风险管理、保障信息安全、遵守法律法规、实现持续改 进。满足客户需求：始终坚持以客户为关注焦点，遵循着公司“竭尽全力提供物 超所值的产品和服务，让客户满意的发展使命，满足客户的需求。强化风险管理：秉承预防为主，防治结合”的理念，优化信息安全策略和 信息安全管理流程，对运行的信息系统和重要信息资产进行全方位风险预防管 控，保护信息系统和重要信息免受各种威胁的损害，使信息安全风险最小化，以

7、 确保信息系统业务的连续性。保证信息安全：坚持“安全第一、预防为主”的安全管理方针，定期开展信 息安全风险评估，完善信息安全管理制度和管理信息系统灾害的应急预案，及时 处理不可接受风险，杜绝可能出现的信息安全事故。遵守法律法规：严格遵守法律法规，自觉增强社会责任感，保障客户和公司 的信息安全。实现持续改进：发挥全体员工的潜能，把质量预防机制构筑在每一个业务环 节中，进行全面的质量管理，并持续改进。2公司信息安全目标a）不可接受风险处理率二100%b）机密信息泄密事件二0次c）重大突发事件二0次d）客户满意度M90%3部门信息安全目标3.1信息安全管理委员会：a）不可接受风险处理率二100%2综

8、合部：a）审核实施及时率290%b）员工入职培训完成率=100%c）员工保密协议签订率二100%d）计划培训实施率295%e）文件有效率二100%f）文件按时发放率=100%3. 3技术部a）机密信息泄密事件二0次b）大面积感染病毒次数二0次c）成功防范黑客攻击率二100%d）重要信息备份技术率二100%e）计算机故障处理完成率=100%f）产品及时完成率二100%3.4业务部a）客户满意度$90%b）产品退回二0c）投诉二0总经理：fran2020年9月1日06公司简介XXX有限公司位于XX省XX市XXX街道XX号，成立于2019年1月，是一家 专注于软件开发、企业信息化建设、网站建设、广告

9、设计的专业型新型电子商务 公司。公司主营业务有：网站建设（包含手机端网站、PC端官网订制、公共平 台搭建等），订制软件（包含手机软件和电脑软件）、搭建企业信息化平台、广 告设计。作为一家专业服务于企业信息化建设的公司，公司拥有一只经验丰富的行业 精英组成的的团队，公司自成立一年以来，已经为多家企业完成了网站建设和推 广，设计完成了 XXXXX,赢得了众多客户的一致好评。通信信息 公司名称: 公司地址: 联系人: 电 话: 传 真: 电子信箱:07管理手册1概述本管理手册依据GB/T 22080-2016/ISO/IEC 27001:2013信息技术安 全技术信息安全管理体系要求以及公司实际情况

10、编制的，是本公司从事信息 安全管理有关的活动的纲领性文件，为保持其持续适应性和有效性，明确管理者 和持有者的责任，对管理手册的编写、修订、发放等实行统一管理。2依据1 GB/T 22080-2016/ISO/IEC 27001 ：2013信息技术 安全技术 信息安全管理 体系要求3手册的编写和管理职责3.1管理者代表负责组织管理手册编写、会审、修订并组织宣贯。3.2由总经理批准颁布实施。3.3资料管理员负责管理手册发放、回收、登记、保管和控制。4管理手册按“受控”和“非受控”两种版本管理。“受控”版本正本由资料 管理员保管，非正本限于本公司内部使用；“非受控”版本对外发放，在对外发 放时必须经

11、经理批准并加盖非受控”标识后方可对外发放。4手册持有者的责任1管理手册是本公司信息安全管理体系运行的纲领性文件，本公司人员必须认 真学习、了解信息安全管理管理工作等，熟悉各项规定并严格遵照执行。4.2管理手册是公司的受控文件，限公司内部使用，应妥善保管，不得遗失、擅 自更改、翻印和外借，如有丢失应向资料管理员作书面报告，经管理者代表批准 后方可补发。4.3更改页下发后，按更改内容要求贯彻执行。4.4持有者调离本公司，必须交回手册，办理回收手续后方可离开。5管理手册的宣传与贯彻1管理手册是本公司活动管理的指导性文件，是开展管理活动的依据和规范， 全体人员必须认真学习和掌握管理手册的规定和要求。5

12、.2管理者代表制定宣传与贯彻计划并组织全体人员学习，使全体人员了解信息 安全管理工作，对管理手册中条款作必要的说明和解释，以便在信息安全管理活 动中得以正确贯彻和执行。3新调入本公司工作人员，岗前培训内容包含管理手册的学习。6手册的修订1在管理体系活动中，员工有权以口头或书面方式向管理者代表提出修改意见 或补充建议。6.2管理者代表负责收集修改意见和建议，一般在每年的内部评审或管理评审会 议上提岀修改意见并进行评审。3修订稿由管理者代表组织起草，报总经理审批。修订稿经总经理审核批准后 印制，手册持有者更换修订后的管理手册，并对旧版手册进行回收。7手卅的改版7.1当法律法规、标准发生变化时或本公

13、司职能、体制、组织结构等发生重大变 化，现行管理体系与之不相适应，或上级主管部门要求改版时，管理手册予以改 版。7.2改版工作由管理者代表负责，组织人员编写，新版本由总经理负责审核。新 版本自总经理批准颁布实施之日起，旧版本同时废止并予以回收。第一章范围1.1本手册适用于本公司软件开发、网站建设、企业信息化管理等活动涉及的信 息安全管理活动。1.2本手册适用于相关方审核本公司信息安全管理能力的依据之一。1.3本手册是信息安全管理体系文件，满足公司内部管理体系需要。1.4本公司不进行外包，本手册不适用于外包。第二章规范性引用文件下列文件对于本手册的应用是必不可少的。凡是注日期的引用文件，仅注日

14、期的版本适用于本手册。凡是不注日期的引用文件，其最新版本（包括所有的修 改单）适用于本手册。1）GB/T 22080-2016/IS0/IEC 27001:2013信息技术 安全技术 信息安全 管理体系要求2）GB/T 29246/IS0/IEC 27000信息技术 安全技术 信息安全管理体系 概 述和词汇第三章术语和定义GB/T 29246-2017/ISO/IEC 27000： 2016信息技术 安全技术 息安全管理 体系概述和词汇界定的术语和定义适用于本手册。1审核获取审核证据并客观地对其评价以确定满足审核准则程度的，系统的、独立 的和文档化的过程。注1：审核可以是内部审核（第一方）或外

15、部审核（第二方或第三方），可 以是结合审核（结合两个或两个以上学科）。注2： “审核证据”和“审核准则”在ISO 19011中被定义。3.2审核范围审核的程度和边界。3.3能力应用知识和技能实现预期结果的才能。3.4保密性信息对为授权的个人、实体或过程不可用或不泄露的特性。5符合性对要求的满足。6后果事态影响目标的结果。7持续改进为提高性能的反复活动。8控制改变风险的措施。3.9控制目标描述控制的实施结果所达到目标的声明。10纠正消除已查明的不符合的措施。11整改措施消除不符合的措施。12文档化信息组织需要控制和维护的信息及其载体。注1：文档化信息可以采用任何格式，在任何载体中，出自任何来源。

16、注2：文档化信息可能涉及一一管理体系，包括相关过程；一一为组织运作所创建的信息（文档）；一一结果实现的证据（记录）。13有效性实现所计划活动和达成所计划结果的程度。3. 14信息安全对信息的保密性、完整性和可用性的保持。3. 15信息安全持续性确保信息安全持续作用的过程和规程。3. 16信息安全事态识别到一种系统、服务或网络状态的发生，表明可能违法信息安全策略或控 制失效，或者一种可能与信息安全相关但还不为人知的情况。3. 17信息安全事件单一或一系列不希望或意外的，极有可能损害业务运行和威胁信息安全的信 息安全事态。3. 18信息安全事件管理发现、报告、评估、响应、处理和总结信息安全事件的过

17、程。3. 19信息系统应用、服务、信息技术资产或其他信息处理组件。3. 20管理体系组织中相互管理或相互作用的要素集，用来建立策略和目标以及达到这些目 标的过程。3.21测量确定一个值的过程。3. 22监视确定系统、过程或活动状态的行为。3. 23不符合对要求的不满足。3. 24过程将输入转换成输岀的相互关联或相关作用的活动集。3. 25评审针对实现所设立目标为主题，为确定其适宜性、充分性和有效性而采取的活 动。3. 26风险对目标不确定性影响。3. 27利益相关方对于一项决策或活动，可能对其产生影响，或被其影响，或认为自己受到影 响的人或组织。3. 28信息安全管理体系项目ISMS组织为实施

18、ISMS所开展的结构化项目。3. 29信息处理设施任何的信息处理系统、服务或基础设施，或者其安置的物理位置。第四章组织环境4.1理解组织及其环境1.1公司通过收集信息、识别、分析和评价确认影响公司信息安全管理体系预 期结果的能力相关的外部和内部因素，外部、内部因素分析结果为确定以下事项 提供依据：a）确定管理体系范围；b）建立管理体系；c）确定应对风险和机遇的措施；d）管理评审输入。4.1.2评价公司外部因素可以包括，但不限于：a）社会和文化、政治、法律法规、财务、技术、经济、自然和竞争环境， 无论国际、国内、区域和当地；b）影响公司目标的动力和趋势；c）与外部利益相关方的关系，以及它们的感受

19、和价值观。4.1.3评价组织内部因素可以包括，但不限于：a）管理方法、组织结构、作用和责任；b）方针、目标，以及为实现它们所制定的战略；c）以资源和知识来理解的能力；d）信息系统、信息流和决策过程（正式或非正式）；e）与内部利益相关方的关系，以及它们的感受和价值观；f）组织的文化；g）被组织采用的标准、指南和模型；h）合同关系的形式和范围。1.4在确定这些相关要素时，公司通过实施、策划应对风险的机遇和措施，通 过适宜的方法对这些内部和外部因素的相关信息进行监视和评审，确保充分识别 风险，消除风险，降低或减缓风险，充分利用可能的发展机遇，保证实现公司信 息安全管理体系预期结果。4.2理解相关方的

20、需求和期望2. 1公司确定与信息安全管理体系有关的相关方及相关方的要求，此类相关方 包括但不限于以下方面：客户、最终使用者、主管部门、其他，如：股东、员工 等。2.2公司确定相关方，通过收集、询问、调查等方式了解相关方的要求（要求 包含法律、法规和合同义务）。2. 3公司定期对这些相关方及其要求的相关信息进行监视和评审。2. 4相关方及其需求和期望的分析结果为以下方面提供输入：a）确定管理体系范围b）建立管理体系c）确定应对风险和机遇的措施d）管理评审输入。2. 5公司定期更新确定的结果，以便于理解和满足影响顾客要求和顾客满意度 的需求和期望。2. 6公司要识别应对当前的和预期的未来需求可导致

21、改进和变革的机会。3确定信息安全管理体系范围公司信息安全管理体系范围包含公司活动中所有内容，范围包括经营业务 （软件开发、企业信息化建设、网站建设、广告设计等）、公司场所、影响公司 信息安全管理的内部外部因素、相关方的要求。公司通过管理手册、程序文件、 文件记录、规章制度来有效维护公司信息安全管理体系。4信息安全管理体系本公司按照GB/T 22080-2016/IS0/IEC 27001:2013信息技术 安全技术 信 息安全管理体系要求的要求，建立、实现、维护和持续改进信息安全管理体 系。第五章领导5.1领导和承诺最高管理层通过以下活动，证实对信息安全管理体系的领导和承诺：a）建立了信息安全

22、方针和信息安全目标，并与公司战略方向一致；b）将信息安全管理体系要求整合到了组织过程中；c）资源满足公司信息安全管理体系；d）通过培训教育、宣传等方式传达信息安全管理体系要求的重要性；e）确保信息安全管理体系达到预期结果；f）指导并支持相关人员为信息安全管理体系的有效性做出贡献；g）促进持续改进；h）支持其他相关管理角色，以证实他们的领导按角色应用于其责任范围。5. 2方针2.1为提髙本公司的信息安全管理水平，保障公司和客户信息安全，本公司建 立了信息安全管理制度，制定了信息安全方针。2.2信息安全方针：满足客户需求、强化风险管理、保障信息安全、遵守法律 法规、实现持续改进。（见本手册：05方

23、针、目标）2.3公司制定的信息安全方针：a）与公司意图相适宜；b）包括信息安全目的或为设定信息安全目的提供框架；c）包括对满足适用的信息安全相关要求的承诺；d）包括对持续改进信息安全管理体系的承诺。2. 3沟通信息安全方针a）信息安全方针以文件的形式进行了发布（见本手册：05方针、目标）， 以便让员工及时知晓。b）公司应将信息安全方针对全体员工进行宣讲、教育，确保每个员工熟悉、 理解并贯彻执行。c）必要时，信息安全方针向相关方提供，告知相关方。d）公司应通过管理评审对信息安全方针进行适宜性评审和修订，以反映不 断变化的内部、外部条件和信息。3组织的角色、责任和权限3. 1总则为便于信息安全管理

24、体系的有效运行，公司明确规定各层次各部门人员的职 责和权限，并形成文件，以保证信息安全管理体系充分、有效地实施。管理者应 确保为信息安全管理体系的建立、实施、保持和改进提供必要的资源。资源包括 人力资源和信息处理设施以及技术和财力资源。3. 2组织框架公司组织机构由领导层、信息安全管理委员会、综合部、业务部、技术部、 财务部组成，公司组织机构图见附录二。3. 3人员及部门职责和权限如下：3. 3. 1总经理a）拟订公司中长期发展规划、公司年度经营计划、公司经营管理制度并负 责实施。b）领导公司建立各级组织机构，并按公司战略规划进行机构调整。c）领导公司制定各种规章制度，并深入贯彻实施。d）主持

25、公司日常经营管理；确定公司组织机构并确定部门职责，协调公司 内外关系。e）负责建立、实施、保持信息安全管理体系并持续改进其有效性，确认公 司信息安全管理方针、目标的建立和实施。f）决定各职能部门负责人的任免、报酬、奖惩。g）加强企业文化建设，搞好社会公共关系，树立公司良好的社会形象。h）总经理是公司的第一责任人，对整个公司的经营业绩负责。3. 3.2管理者代表a）确保信息安全管理体系的建立、实施、保持和更新；进行资产识别和风 险评估。b）向最高管理者报告管理体系的有效性和适宜性，并作为评审依据用于体 系的改进；c）负责与信息安全管理体系有关的协调和联络工作；d）负责确保管理手册的宣传贯彻工作；

26、e）负责管理体系运行及持续改进活动的日常督导；f）负责加强对员工的思想教育和业务、技术培训，提高员工信息安全风险意识；g）主持公司内部审核活动，任命内部审核人员；h）代表公司就公司管理体系有关事宜与外部进行联络。3. 3. 3综合部a）编制员工培训计划，组织员工技能培训；b）负责公司员工档案管理及人员招聘及签署保密协议；c）编制员工手册，对公司各部门人员的绩效评估、奖惩及晋升之审核与呈报；d）负责公司文件记录管理；e）公司办公用品采购、发放；f）外部审核和内部审核的参与；g）负责供方评审；h）对信息安全日常工作实施动态考核，将信息安全管理作为企业管理的重要工作内容；i）负责收集信息安全方面相关

27、的法律法规及标准，并将相关信息及时传达 到各部门，组织相关培训。5. 3. 3. 4技术部a）负责技术部的日常工作，制定工作计划和信息管理的有关办法；b）组织制定信息安全管理工作的有关细则；c）负责公司网络安全和信息安全工作；d）统筹软件开发及应用；e）负责网站搭建；f）负责广告设计；g）负责公司网站的安全和正常运行，技术指导、处理、协调和解决起点工 作网技术问题。5. 3. 3. 5业务部a）熟悉公司电子商务平台的操作，开发新客户，寻找合作机会；b）了解公司产品，及时回复客户信息，接待上访客户，洽谈订单，完成销售 业绩;c）负责公司客户反馈信息的搜集，定期对客户回访跟踪。认真执行信息安全 方

28、针、标准、安全策略和规范，做好本部门职责范围内的信息安全管理体系运行 工作。d）做好业务相关资料的整理和归档；e）进行客户满意度调查，并进行统计分析评审；f）组织合同评审工作，加强合同管理。5. 3. 3. 6财务部a）编制财务管理制度，设置会计科目、会计账簿，处理一般会计事务如编 制会计凭证、会计报表、结账、核帐、收款、报销处理、薪资发放等；b）严格监控收支情况，办理银行结汇、外汇结算以及工商、税务事项，做 到合法、合理交纳税款；c）进行会计核算，定期清查财产物资，发现问题及时上报、及时处理；d）整理、保存相关的各种会计资料和会计档案；e）运用会计信息和资料做好成本管理工作，及时对成本、利润

29、及资金需求 进行预测，为公司的经营管理提供决策依据；f）分析财务运行状况，撰写财务评价报告，向总经理报告财务情况和营运 状况；g）遵守职业道德、严守公司机密，严格财经纪律，以身作则，奉公守法， 严格遵守公司各项规章制度，严格执行各项费用开支标准。5. 3. 3. 7信息安全管理委员会a）制定落实信息等级保护制度，对信息安全重大事项进行决策；b）制定信息安全管理制度；c）落实信息安全隐患整改事宜及事项的处理决定；d）对公司信息安全工作负责。第六章规划6.1应对风险和机会的措施6.1.1总则建立、实施并保持应对风险和机会的措施程序，当规划信息安全管理体 系时，公司考虑4.1提到的事项和4. 2中提

30、到的要求，并确定需要应对的风险和 机会，以：a）确保信息安全管理体系可达到预期结果；b）预防或减少不良影响；c）达到持续改进。公司应规划：d）应对这些风险和机会的措施；e）如何：1）将这些措施整合到信息安全管理体系过程中，并予以实现；2）评价这些措施的有效性。6.1.2信息安全风险评估1建立、实施并保持信息安全风险控制程序，识别、分析、评价信息 安全风险，以建立并维护信息安全风险准则，包括风险接受准则；信息安全风险 评估实施准则。2. 2在已确定的信息安全管理体系范围内，公司按照信息安全风险控制程 序识别与信息保密性、完整信息和可用性有关的风险，并识别风险责任人。1.2.3根据信息安全风险控制

31、程序对识别出的风险进行分析，评估与信息 保密性、完整信息和可用性有关的风险发生后，可能导致的潜在后果，和实际发 生的可能性，确定风险级别。4评价信息安全风险，将风险分析结果与建立的风险准则进行比较，将缝 隙处置排序已分析风险的优先级。1.2.5公司保留有关信息风险评估过程的信息安全风险评估记录、信息 安全风险评估报告等文件化信息。&13信息安全风险处置1建立、实施并保持信息安全风险控制程序，对信息安全风险进行处 置。1.3.2对设别的信息安全风险进行评估，依据评估结果，选择合适的风险处置 选项。1. 3. 3确定实现已选的信息安全风险处置选项所必需的所有控制。4将确定的控制与GB/T 2208

32、0-2016/ISO/IEC 27001:2013信息技术 安 全技术 信息安全管理体系要求附录A的控制进行比较，并验证没有忽略必要 的控制。1.3.5制定信息安全适用性声明，包含必要的控制及其选择的合理性说明 （无论该控制是否已实现）,以及对GB/T 22080-2016/1 SO/1 EC 2 7001 ： 2013信 息技术安全技术信息安全管理体系要求附录A控制删减的合理性说明；1.3.6由综合部制定信息安全风险处置计划，经信息安全委员会审核，总 经理批准实施。1.3.7确定信息安全风险处置责任人，由总经理批准信息安全残余风险的接 受。1.3.7公司保留信息安全风险处置计划、信息安全风险

33、处置实施记录 等有关信息安全风险处置过程的文件化信息。2信息安全目的及其实现的规划1公司在相关职能和层级上建立了信息安全目标，（见本手册05方针、目 标）。公司信息安全目标：a）与公司信息安全方针一致；b）可测量；c）考虑适当的信息安全要求，以及风险评估和风险处置的结果；d）得到沟通；e）适当时更新；公司将公司信息安全目标和部门信息安全目标在管理手册中进行了发布。（见本手册05方针、目标）2.2公司通过信息安全管理、定期和不定期的进行安全检查、内部审核、管理 评审、信息安全风险评估等措施来达到信息安全的目标，在规划如何达到信息安 全目的时，公司确定：a）要做什么；b）需要什么资源；c）由谁负责

34、；d）什么时候完成;e）如何评价结果。第七章支持71资源1. 1总则资源是确保管理体系有效运行，实现信息安全方针和信息安全目标的必要条 件，公司应确定并提供为建立、实施、保持和持续改进信息安全管理体系运行所 必需的资源，包括：人员、信息、供方、设备设施、工作环境及财务资源等，以 保证：a）实施和保持管理体系，并持续改进其有效性；b）满足顾客、法律法规及其它相关方的要求，增强顾客满意。公司应考虑：a）现有内部资源的能力和局限性；b）需要从外部供方获得的资源。1.2人力资源1建立人力资源控制程序，并制定公司岗位职责及任职要求，应 确定并配备所需的人员，建立人员档案，签订信息安全保密协议，定期识别

35、有效性，以有效实施信息安全管理体系运行过程的控制。1.2.2公司综合部负责公司人员的配置管理，定期对在岗人员进行绩效考核， 对不符合要求的进行换岗或采取培训的方式提高职工的个人工作能力。1.3设备设施1公司应确定、提供并维护为实现产品所需要的设备设施，设备设施可包 括：a）建筑物和相关设施；b）设备、包括硬件和软件；c）信息除了设施；d）信息和通迅技术。1.3.2公司建立、保持和实施设备设施控制程序，对公司拥有的设备设施 进行管理。1.4工作环境1建立、保持和实施工作环境控制程序。1.4.2公司应确定、提供并维护所需的环境，适当的运行环境可能是人为因素 与物理因素的结合，例如：a）社会因素（如

36、无歧视、和谐稳定、无对抗）；b）心理因素（如缓解紧张情绪、预防职业倦怠、保证情绪稳定）；c）物理因素（如温度、照明、空气流通、卫生、噪声等）。由于部门职责不同，这些因素可能存在显著差异，公司应对工作环境进行统 筹规划，确保为职工提供适宜的、符合要求的工作环境并不断改善。：a）适用的办公场所，对办公区域予以标识；b）确保职工劳动条件符合劳动法规的要求；c）工作场所应配备必要的通风、取暖、消防器材等设施，保持适宜的温度、 湿度和职业健康安全条件；d）各级管理者要注意工作方法，关心职工生活、加强交流沟通，创造条件, 营造和谐的工作氛围。保为职工提供适宜的、符合要求的工作环境并不断改善。 7.1.5监

37、视和测量资源1.5. 1建立、保持和实施监视和测量资源控制程序1.5.2当利用监视或测量来验证产品和服务符合要求时，公司应确定并提供所 需的资源，以确保结果有效和可靠，公司应确保所提供的资源；a）适合所开展的监视和测量活动的特定类型；b）得到维护，以确保持续适其用途。组织应保留适当的文件化信息，作为监视和测量资源适合其用途的证据。1.6组织的知识7. 1.6. 1由综合部确定公司所需的知识，由综合部对相关知识进行收集汇总。7. 1.6.2综合部将这些知识以文件化和电子档形式保存，并将知识通过培训、宣 传、放发等多种形式传达到职工。7. 1.6.3为了应对不断变化的需求和发展趋势，公司应审视现有

38、的知识，确定如 何获取或接触更多必要的知识和知识更新。7.1.6. 4公司的知识是组织特有的知识，通常从其经验中获得，是以实现组织目 标所使用和共享的信息。7. 1.6.5公司的知识可以基于：a）内部来源（例如知识产权；从经验获得的知识；从失败和成功项目吸取 的经验教训；获取和分享未成文的知识和经验，过程、产品和服务的改进结果）；b）外部来源（例如标准；学术交流；专业会议，从顾客或外部供方收集的 知识）。7. 2能力公司应：a）确定在公司控制下从事会影响公司信息安全绩效的工作人员的必要能 力；b）确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作；c）适用时，采取措施以获得必要的能力，

39、并评估所采取措施的有效性；d）保留培训考核记录、能力确认记录等文件化信息作为能力的证 据。注：适用的措施可包括，例如针对现有雇员提供培训、指导或重新分配；雇 佣或签约有能力的人员。7. 3意识公司通过培训教育、宣传等方式，使在公司控制下工作的人员意识到：a）信息安全方针；b）其对信息安全管理体系有效性的贡献，包括改进信息安全绩效带来的 益处；c）不符合信息安全管理体系要求带来的影响。7. 4沟通1建立、保持和实施信息交流控制程序，公司确定与信息安全管理体系 相关的内部和外部沟通，包括：a）沟通什么；b）何时沟通；c）与谁沟通；d）如何沟通；e）由谁沟通。f）影响沟通的过程。公司对信息安全管理体

40、系相关的信息交流做出响应，适当时，公司保留文件 化信息，作为其信息交流的证据。7. 4.2内部信息交流公司应：小在其各职能和层次间就信息安全管理体系的相关信息进行内部信息交流, 适当时，包括交流信息安全管理体系的变更；b）确保其信息交流过程能够促使在其控制下工作的人员对持续改进做出贡 献。7. 4.3外部信息交流公司应按其建立的信息交流过程的规定及其合规义务的要求，就信息安全管 理体系的相关信息进行外部信息交流。7. 5文件化信息7. 5.1总则建立、保持和实施文件控制程序、记录控制程序。公司的信息安全管理体系包括：a）GB/T 22080-2016/ISO/IEC 27001:2013信息技

41、术安全技术信息安全 管理体系要求要求的文件化信息；b）公司实现信息安全管理体系有效性所必须的文件化信息。公司信息安全管理体系文件主要有：信息安全管理手册、程序文件、 操作规范、员工手册、内部审核报告、管理评审报告、其他各 类记录表格报告和外来文件。7. 5. 2创建和更新在创建和更新成文信息时，组织应确保适当的：a）标识和说明（如：标题、日期、作者或引用编号）；b）格式（例如语言、软件版本、图表）和介质（例如纸质的、电子的）；c）评审和批准，以确保适宜性和充分性。7. 5.3文件化信息的控制7. 5. 3. 1公司编制文件控制程序，用以规范对管理体系文件的管理。综合部 负责公司管理体系文件的归

42、口管理，控制信息安全管理体系和标准所要求的形成 文件的信息，以确保：a）在需要的地点和时间，是可用的和适宜使用的；b）得到充分的保护（如避免保密性损失、不恰当使用、完整性损失等）。7. 5. 3. 2为控制形成文件的信息，适用时，公司综合部应采取下列活动和措施,a）负责文件的分发、访问、检索和使用的控制；b）存储和防护，包括保持可读性；c）公司管理体系发生更改时，应保持更改控制，比如：版本控制。应对文 件进行必要的评审和修改。对修改的内容须再次审批；采用文件更改记录及 版本和修改状态标识的方式，识别所有文件的修订状态；d）保留和处置。7. 5. 3. 3对于公司确定的、策划和运行信息安全管理体

43、系所必需的、来自外部的 形成文件的信息，适当识别，公司应予以控制。7. 5. 3. 4对所保留的作为符合性证据的形成文件的信息应予以保护，防止非预期 的更改。防止作废文件的非预期使用，对作废文件及时回收。因法律或其他原因 需保留作废文件，要进行适当标识。7. 5. 3. 5对形成文件的信息的“访问”可能意味着仅允许查阅，或者意味着允许 查阅并授权修改。第八章运行8.1运行规划和控制为了满足信息安全要求以及实现应对风险和机会的确定的措施，公司建立、 保持和实施应对风险和机会的措施程序，为了达到信息安全目标，公司制定 了内部审核计划、管理评审计划、风险处理计划等一系列计划。公司保持文件化信息达到必

44、要的程度，以确信这些过程按计划得到执行。 公司控制计划内的变更并评审非预期变更的后果，必要时采取措施减轻任何负面影响。&2信息安全风险评估在已确定的信息安全管理体系范围内，考虑建立的准则，按计划的时间间隔, 按信息安全风险管理程序，在范围内进行信息安全风险识别。或当重大变更 提出或风险发生时，执行信息安全评估。公司保留信息安全风险评估报告的文件信息。&3信息安全风险处置综合部根据风险评估的结果编制信息安全风险处置计划，经信息安全委 员会审核，总经理批准后实施。各部门应保证计划的实施。公司保留信息安全风险处理记录的文件化信息。第九章绩效评价9.1监视、测量、分析和评价1.1建立、保持和实施监视和

45、测量控制程序，评价信息安全绩效以及信息 安全管理体系的有效性，公司应确定：a）需要被监视和测量的内容，包括信息安全过程和控制；b）适用的监视、测量、分析和评价的方法，以确保得到有效的结果。c）何时应执行监视和测量；d）谁应监视和测量；e）何时应分析和评价监视和测量的结果；f）谁应分析和评价这些结果。公司评价信息安全绩效及信息安全管理体系的有效性。公司应确保使用监视 和测量设备，并对其予以维护。公司应按其建立的信息交流过程的规定，就有关 信息安全绩效的信息进行内部和外部信息交流。公司保留适当的文件化信息，作 为监视、测量、分析和评价结果的证据。9.1.2信息安全管理体系绩效的监视测量和评价公司策

46、划并实施以下方面所需的监视测量、分析和改进过程：a）证实服务的符合性；b）确保信息安全管理体系的有效性；c）持续改进信息安全管理体系的有效性。公司采用有效方法对信息安全管理体系全过程进行监视和测量，以确保过程 能力满足要求和管理体系的符合性。过程的监视和测量由管理者代表负责，综合 部组织实施。通过对关键过程的过程参数（如：软件技术参数、人员能力等）的测量，对 过程能力进行监视。通过内、外部审核、管理评审和日常的监督检查，对信息安全管理体系的保 证能力和运行质量进行监视和测量。各部门应结合本部门工作的具体情况对公司的管理目标进行分解，转化为与 本部门有关的具体目标，公司对各部门及公司管理目标的完

47、成情况按年度进行监 视和测量。为保证对上述内容进行监视和测量，公司釆用适宜的方法，包括统计技术的 应用。综合部负责组织确定统计技术的使用方法及其应用程度。9.2内部审核1建立、保持和实施内部审核控制程序。公司按计划的时间间隔进行内 部审核，每次内部审核时间间隔不超过12个月，每年至少进行1次内部审核， 当内部、外部环境发生重大变化时，管理者代表可以决定增加内部审核的次数， 通过内部审核，确定信息安全管理体系是否符合公司自身对信息安全管理体系的 要求和GB/T 22080-2016/IS0/IEC 27001:2013信息技术 安全技术 信息安全 管理体系要求标准的要求，是否得到有效实现和维护。

48、2.2由综合部制定内部审核方案，内部审核方案包括审核频次、方法、 责任、规划要求和报告，并考虑相关过程的重要性和以往内部审核的结果。9. 2.3综合部根据审核方案制定年度内部审核计划。9. 2.4由管理者代表定义每次内部审核的准则和审核范围。9. 2.5由管理者代表委任内审员实施内部审核，内审员做出审核过程客观性和公 正性的声明，内审员应经过培训并取得了证书方可承担审核工作。9.2.6公司按照年度内部审核计划实施审核，实施程序：a）进行首次会议，明确审核目的、审核范围、审核方法、审核程序和分组 情况。b）进行审核，采取听取汇报、现场查看、提问、查阅资料等方式按照内 部审核检查表对各部门的管理体

49、系和操作规程进行全面考核。C）出具不符合项记录，各小组将审核记录进行汇总，出具不符合项记录。d）进行末次会议，对检查中发现的不符合项进行讨论、分析，提出纠正预 防措施和整改责任人。e）审核组长编制内审报告。9. 2.7内审报告发布后，发放至各部门负责人及公司领导层、9.2.8公司保留内部审核检查表、内部审核报告等内部审核过程的文件 化信息作为审核方案和审核结果的证据。9.3管理评审1建立、保持和实施管理评审控制程序。管理层按计划的时间间隔进行 管理评审，每次管理评审的时间间隔不超过12个月。当内、外部环境发生重大 变化时，公司总经理可决定增加管理评审的次数，以确保信息安全管理体系持续 的适宜性

50、、充分性和有效性。9. 3.2管理评审输入内容：a）以往管理评审提出的措施的状态；b）与信息安全管理体系相关的外部和内部事项的变化；c）有关信息安全绩效的反馈，包括以下方面的趋势：1）不符合和纠正措施；2）监视和测量结果；3）审核结果；4）信息安全目的完成情况；d）相关方庾馈；e）风险评估结果及风险处置计划的状态；f）持续改进的机会。9. 3.3管理评审准备：a）各部门负责人在管理评审会议前向管理者代表书面报告本部门信息安全 方面的绩效、部门信息安全目标的实现情况；持续改进的机会；b）综合部负责各部门目标完成情况及绩效考核结果的汇总分析情况；并报 告至管理者代表；c）综合部负责向管理者代表报告风险评估结果及风险处置计划的状态；d）业务部负责向管理者代表报告相关方反馈情况；e）管理者代表负责对以上资料进行汇总后编写信息安全管理体系运行报 告，作为管理评审的输入，由综合部将报告稿分发给参加会议的人员。9. 3.4管理评审输出内容：a）与持续改进机会相关的决定；b）变更信息安全管理体系的任何需求。9. 3.5管理评审会议9. 3. 5. 1管理评审会议由公司总经理主持。9. 3. 5. 2管理评审计划a）综合部负责编制管理评审计划，经管理者代表审核，总经理批准后, 于召开评审会议前十天发放到各有关部门；b）计划主要内容包括：评审目的、评审时间、评审内容、评审前准备